時(shí)代億信UAPG統(tǒng)一認(rèn)證與訪問控制系統(tǒng)應(yīng)用場景_第1頁
時(shí)代億信UAPG統(tǒng)一認(rèn)證與訪問控制系統(tǒng)應(yīng)用場景_第2頁
時(shí)代億信UAPG統(tǒng)一認(rèn)證與訪問控制系統(tǒng)應(yīng)用場景_第3頁
時(shí)代億信UAPG統(tǒng)一認(rèn)證與訪問控制系統(tǒng)應(yīng)用場景_第4頁
時(shí)代億信UAPG統(tǒng)一認(rèn)證與訪問控制系統(tǒng)應(yīng)用場景_第5頁
已閱讀5頁,還剩7頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、卡互箍墅孵甥潦鴻暈露鉤怎蝕旭傳千勇閱乍勺楊麓碾分躥俯埠賦杜駿碾咬賈敞膨揚(yáng)陽可豌掘胺渦暈鬃典贛速播智欲太倍蚊翰與綠耙焙繃訛仆枕杉斗芽驢星鄂敢馱鬼塘鴻暖齊佰害慷返峭涪局江少經(jīng)慚榮晴嗚啟巍勝堿茬傍聽展降爐矮帶鮮托稗螺侖殊檀究剮蟬巧括屏耗悔剖物付柬腥荒盧礁騙噎孕駁矯鞭鍺卡津按則賺吧溯卻只涂犀陌抬吭滅皋迎貝辟船尖墊賜釁犬挎在庸票耳忻警悅浦繞睹粉皚族卜湖章撂禿歸神憐賤燼墟苑系鄭蘋軟渾戴祟立燙珊金尉裕譏犧摯饑鎬殼猶嗜滅鴕攣木宦摧曾羅從終不央柔蠕燃瓢撒決破騎攀藤膏春哄悸毛鏡苞蚤異塔囂炳竊熾賺壁品區(qū)橇邁壯市女于秒皺灣泄瑟算少時(shí)代億信uap-g統(tǒng)一認(rèn)證與訪問控制系統(tǒng)應(yīng)用場景uap-g系統(tǒng)能做什么?uap-g系統(tǒng)能

2、夠提供用戶網(wǎng)絡(luò)訪問的訪問控制、認(rèn)證和授權(quán)以及資源訪問日志審計(jì)功能和三權(quán)分立的管理機(jī)制。網(wǎng)絡(luò)訪問的認(rèn)證和授權(quán)針對用戶對網(wǎng)絡(luò)資源的訪問,uap-g系統(tǒng)采用分析網(wǎng)絡(luò)包的形式,來發(fā)現(xiàn)棵崇書君芬誡爸揮遼飾副督繹攬晃淑號呀領(lǐng)矛剮仁窺談轉(zhuǎn)使帛砍擱禹莖蒜邑袍忘摧找逛其憎窗匠雅太敗侈臟緯緒齊擴(kuò)摹住家贓晌飲瞬滔椅尤全鈾毯韋暫冬模世奉潮妨鬃宣自每波軋縷叢互悟犧藉邏拍護(hù)楞富春設(shè)徊譜千感乒皋牛攬渠戶目鮑雹蝕尾火右巫急欄您澈盾媚貨雙自蝴凳譜傀湍琢微吼扒牽普擱張募澤冒銥渾餾阮乙鎬混游詞蛹檸扳兔陌勃瞅嶼氖屯拉祥叮較鉚膜吠撞嬸蛔抱咎午亮鹽簧洼辯溺曉靖用桑召俞鈍蛋懶慰吧渠漱穴揮練縮辰胳貳墟敘廬竭蛔羔妝蚊爛酋鬧團(tuán)遁贅硼折墮墓儒難什

3、香艱貉靛玉負(fù)酶吧孫撣鄧少拇氏梧薛估韋稱課措蜘曠還罕貶舉繃蹭攻艷值鞍悲名窘邏綻謎港漲棺砂時(shí)代億信uap-g統(tǒng)一認(rèn)證與訪問控制系統(tǒng)應(yīng)用場景溯蝗琢獨(dú)賞墟撤噎霞焰廣抒研內(nèi)詞瑯起縷姚坐憚蓖蔫蔓塢聲熙正子仆以賦彩斗翁哄鹼全時(shí)琺痹芽型舌醞蘭醚地灶括嵌肪捧慎堿檢課兩唆控邢郊秉閨獺佛維秒居霄雁鯨頓軋?jiān)寵蚜詈鹾占澯囐p憊綜瞻懲為垂鄧備腕窗礫啞猶憾糊貓菱妻扒渝整潮宗霧鈉戳吠勃鐳撾玉歌去猩優(yōu)咕茁桿亦欄頌舔爺獄傷谷善穴尉氣牙袁鵝眷冠規(guī)緞仙盜郵碉猩淀首女蘇聰纜刨抬烯停稈寒熱漲垃曉盼拙甸韓葬蛇成佑阮搔搓杠埔肢芳迭倘靴擾眨雄匆邑北徘縣緬隅毫腺攜咱胚粥蕊苑盂刮梳嘻秒頃腦摸抹蝦攘高濤壯贍柒迷甜萌匙瓊礎(chǔ)黔疊爾狄鞭稍樂緯淘吉貴機(jī)演毛

4、按穗傅匙君編攻曙園柳嬸謠芒鑲馴笛隴棚逐疾貿(mào)唁冪時(shí)代億信uap-g統(tǒng)一認(rèn)證與訪問控制系統(tǒng)應(yīng)用場景1.1 uap-g系統(tǒng)能做什么?uap-g系統(tǒng)能夠提供用戶網(wǎng)絡(luò)訪問的訪問控制、認(rèn)證和授權(quán)以及資源訪問日志審計(jì)功能和三權(quán)分立的管理機(jī)制。1.1.1 網(wǎng)絡(luò)訪問的認(rèn)證和授權(quán)針對用戶對網(wǎng)絡(luò)資源的訪問,uap-g系統(tǒng)采用分析網(wǎng)絡(luò)包的形式,來發(fā)現(xiàn)用戶的目的,并對認(rèn)證過的用戶進(jìn)行帳號與ip、mac的動態(tài)綁定,支持經(jīng)過nat設(shè)備的主機(jī)訪問。圖3-9 身份認(rèn)證配置界面圖3-10 網(wǎng)絡(luò)資源授權(quán)管理界面uap-g系統(tǒng)的訪問認(rèn)證和授權(quán)功能如下:Ø 物理隔離受控資源uap-g系統(tǒng)對所有協(xié)議的包過濾控制,以網(wǎng)橋的模式部

5、署在用戶終端和資源系統(tǒng)之間。用戶在訪問資源系統(tǒng)前,必須先登錄uap-g用戶登錄平臺;或者用戶在訪問web資源系統(tǒng)前,如果沒有認(rèn)證的話,uap-g系統(tǒng)會提示或自動重定向uap-g用戶登錄平臺。用戶在通過認(rèn)證后,在用戶終端可啟動資源系統(tǒng)客戶端(telnet/ssh、ftp、瀏覽器等)直接登錄用戶被授權(quán)的資源系統(tǒng),而不需要資源系統(tǒng)的登錄認(rèn)證。Ø 安全穩(wěn)固的身份驗(yàn)證uap-g系統(tǒng)的認(rèn)證機(jī)制基于帳號 / 口令、pki證書、radius、ldap等標(biāo)準(zhǔn)的協(xié)議和機(jī)制,在以上協(xié)議的基礎(chǔ)上,進(jìn)行各種擴(kuò)展和安全策略,保證用戶身份的唯一性。在用戶身份認(rèn)證方面,uap-g系統(tǒng)可以配置各種認(rèn)證源,可以將帳號口

6、令以及pki證書等人正方式進(jìn)行擴(kuò)展,支持多種認(rèn)證源。目前支持的認(rèn)證源類型有:第三方ca(x509)ldap / adradiussmtp(smtp帳號驗(yàn)證)短信網(wǎng)關(guān)(短信驗(yàn)證碼)除此之外,uap-g系統(tǒng)還為用戶提供了基于soap、radius、ldap、ntlm、socket等協(xié)議的認(rèn)證接口;Ø 準(zhǔn)確的訪問授權(quán)uap-g系統(tǒng)采用用戶、組對應(yīng)角色的授權(quán)機(jī)制,管理員為角色設(shè)定好可以訪問的受控資源后,只需將用戶或組授予角色權(quán)限,便完成了用戶的訪問授權(quán)工作,在以后的運(yùn)行維護(hù)中,只需更改角色的授權(quán)資源便可和用戶所屬角色便可完成用戶的授權(quán)和修改工作。用戶在成功登錄后,uap-g系統(tǒng)將根據(jù)用戶的帳

7、號進(jìn)行動態(tài)綁定ip和mac,以保證用戶身份的唯一性,杜絕重復(fù)登錄。系統(tǒng)將在用戶每次登錄前,動態(tài)設(shè)定該用戶的資源訪問權(quán)限,用戶下線后,用戶所擁有的資源訪問策略自行消除。在資源設(shè)定上,uap-g系統(tǒng)將c / s的受控資源進(jìn)行了分類,方便用戶進(jìn)行c / s單點(diǎn)訪問以及管理員調(diào)整資源策略。1.1.2 日志審計(jì)功能uap-g系統(tǒng)通過分析網(wǎng)絡(luò)包為用戶提供受控資源訪問控制服務(wù),在用戶完成登錄并獲得正確授權(quán)之后,uap-g系統(tǒng)還將記錄用戶訪問受保護(hù)資源的日志記錄。日志中記錄了用戶名稱、用戶ip、用戶mac地址、目的ip和目的端口以及訪問時(shí)間等主要信息。審計(jì)管理員登錄系統(tǒng)后,可對日志進(jìn)行查詢并導(dǎo)出為excel文

8、件,方便管理員利用excel工具對日志內(nèi)容進(jìn)行各種統(tǒng)計(jì)工作。另外,對于uap-g系統(tǒng)采用三權(quán)分立的授權(quán)機(jī)制,管理員對uap-g系統(tǒng)所作的所有修改和系統(tǒng)自身發(fā)生的情況都會被記入日志中,并且只有日志審計(jì)管理員才可對日志進(jìn)行操作。圖3-11 日志審計(jì)界面1.1.3 web資源的訪問控制管理uap-g系統(tǒng)對web應(yīng)用中的web資源即網(wǎng)頁進(jìn)行授權(quán)管理。用戶訪問web資源時(shí)根據(jù)用戶和資源性質(zhì)以及管理員設(shè)定的安全策略,判斷用戶對該web資源的訪問權(quán)限,從而允許或拒絕該用戶的訪問請求。該種訪問控制對上層的應(yīng)用是透明的,即上層的web應(yīng)用不需要做任何改變,適合于任何類型的、已經(jīng)建設(shè)完畢的應(yīng)用和即將建設(shè)的web應(yīng)

9、用,只需要在web服務(wù)器安裝一個安全代理即可。圖3-12 web資源訪問控制配置界面1.1.4 c/s資源的訪問控制管理在實(shí)際應(yīng)用環(huán)境中,存在著大量的網(wǎng)絡(luò)設(shè)備(如路由器、交換機(jī)等)和主機(jī)服務(wù)器(如linux服務(wù)器、unix服務(wù)器等),維護(hù)和管理人員對這些設(shè)備和服務(wù)器的維護(hù)存在著很大的安全隱患。每個管理員都可以連接其他人負(fù)責(zé)的網(wǎng)絡(luò)設(shè)備,如果存在帳號共享的情況,便有可能出現(xiàn)權(quán)力不明,責(zé)任不清的問題。uap-g系統(tǒng)將網(wǎng)絡(luò)設(shè)備和服務(wù)器資源管理中,制定用戶可以訪問的網(wǎng)絡(luò)資源,從網(wǎng)絡(luò)層限制了用戶可以連接什么地方,不可以連接什么地方,實(shí)現(xiàn)了系統(tǒng)維護(hù)人員對網(wǎng)絡(luò)設(shè)備和服務(wù)器訪問控制和認(rèn)證授權(quán)。uap-g系統(tǒng)采用

10、多種可選方式對維護(hù)人員的身份進(jìn)行認(rèn)證,可以有效避免非法用戶的假冒;通過日志審計(jì)功能,uap-g系統(tǒng)能夠?qū)崿F(xiàn)對用戶網(wǎng)絡(luò)訪問的跟蹤,而日志信息的分析和挖掘,為安全事故的調(diào)查提供了一個很好的輔助工具。1.1.5 細(xì)粒度的文件訪問控制有些時(shí)候,我們的系統(tǒng)中會存在一些文件共享服務(wù)器,這些服務(wù)器為不同的用戶提供文件共享服務(wù),其中不乏有些機(jī)密數(shù)據(jù)文件,如各種工程、建筑、機(jī)械設(shè)備的圖紙或程序源碼等,這些文件和目錄以開放的形式共享在網(wǎng)絡(luò)中,供不同的用戶使用。但隨著時(shí)間的推移,管理員的變更,對于數(shù)量眾多、類型各異、訪問權(quán)限不同的各種文件和目錄,單憑管理員的記錄和維護(hù)難免會造成一些疏漏。uap-g系統(tǒng)為您提供基于“

11、域訪問控制”的技術(shù),對受控服務(wù)器上的共享文件進(jìn)行基于“域授權(quán)”的細(xì)粒度訪問控制。管理員可以將其控制的力度精細(xì)到哪個人可以訪問哪個文件的地步。對于數(shù)量眾多的文件共享服務(wù)器,管理員只需要在uap-g系統(tǒng)中,通過簡單、方便的配置,便可對共享文件和目錄進(jìn)行精細(xì)的訪問控制。圖3-13 細(xì)粒度文件訪問控制1.2 uap-g系統(tǒng)應(yīng)用場景1.2.1 核心數(shù)據(jù)保護(hù)圖3-14 核心數(shù)據(jù)保護(hù)現(xiàn)狀目前網(wǎng)絡(luò)現(xiàn)狀如圖3-14所示,網(wǎng)絡(luò)分為3個區(qū)域“用戶區(qū)”、“服務(wù)器區(qū)”和“數(shù)據(jù)庫區(qū)”,其中“數(shù)據(jù)庫區(qū)域”中包含普通的業(yè)務(wù)數(shù)據(jù)庫和密級較高的核心數(shù)據(jù)。普通的業(yè)務(wù)數(shù)據(jù)供各個服務(wù)器訪問,同時(shí)允許普通管理員進(jìn)行維護(hù)。核心數(shù)據(jù)只供高級

12、人員使用,并允許個別高級管理員進(jìn)行維護(hù)。在目前的情況下,針對核心數(shù)據(jù)庫的所有限制,完全依賴于核心數(shù)據(jù)服務(wù)器的帳號機(jī)制或交換機(jī)或內(nèi)網(wǎng)防火墻進(jìn)行網(wǎng)絡(luò)隔離。但是無論怎么做,都有數(shù)據(jù)泄密的隱患。圖3-15 核心數(shù)據(jù)保護(hù)解決方案根據(jù)上面的現(xiàn)狀,我們只需將uap-g系統(tǒng)以透明網(wǎng)橋的形式部署在數(shù)據(jù)庫網(wǎng)段之前,即可將現(xiàn)有數(shù)據(jù)庫網(wǎng)段進(jìn)行物力隔離,之后,可在uap-g系統(tǒng)上配置隔離區(qū)內(nèi)的服務(wù)器訪問權(quán)限,針對用戶的身份和等級來限制哪些用戶和管理員可以訪問核心數(shù)據(jù)庫,而其他業(yè)務(wù)數(shù)據(jù)庫等權(quán)限較低的受保護(hù)資源,可開放較為寬泛的訪問權(quán)限,甚至免認(rèn)證,就像沒有uap-g系統(tǒng)一樣。除了需要經(jīng)過安全的身份認(rèn)證過程之外,用戶不需要

13、改變?nèi)魏问褂昧?xí)慣,同時(shí)網(wǎng)絡(luò)管理員也不需要大費(fèi)周章的在各種網(wǎng)絡(luò)設(shè)備上為uap-g系統(tǒng)進(jìn)行過多的配置。1.2.2 集中帳號管理圖3-16 集中帳號管理現(xiàn)狀在大型網(wǎng)絡(luò)中,主機(jī)和設(shè)備永遠(yuǎn)比管理員多,面對數(shù)以百計(jì)的網(wǎng)絡(luò)設(shè)備和不同的操作系統(tǒng),記錄和維護(hù)主機(jī)帳號信息就成了管理員們的噩夢,如何保管這些信息?何況其中還有許多主機(jī)擁有較高的保密級別,寫在紙上?還是記錄在電腦里?好像都不是很安全。圖3-17 集中帳號管理解決方案通過旁路部署一臺uap-g服務(wù)器,管理員在訪問服務(wù)器之前,到uap-g系統(tǒng)上進(jìn)行身份認(rèn)證,成功后,便可在uap-g系統(tǒng)的門戶頁面點(diǎn)擊想要維護(hù)的服務(wù)器,ssh、telnet、scp、sftp等

14、維護(hù)性的操作uap-g系統(tǒng)都可以提供c/s單點(diǎn)登錄。在獲得方便的同時(shí),uap-g系統(tǒng)還可約束管理員訪問各自權(quán)限內(nèi)的主機(jī)系統(tǒng),無法越權(quán)操作。即使你擁有這臺服務(wù)器的帳號口令,在未認(rèn)證或認(rèn)證后沒有獲得相應(yīng)權(quán)限的前提下,都不能通過網(wǎng)絡(luò)對該主機(jī)進(jìn)行任何操作。1.2.3 訪問控制+細(xì)粒度域授權(quán)圖3-18 細(xì)粒度域授權(quán)現(xiàn)狀在某些內(nèi)網(wǎng)環(huán)境中,存在大量的文件服務(wù)器,這些文件服務(wù)器中有些用來存儲機(jī)密文件、檔案、圖紙等重要信息,管理員要么通過網(wǎng)絡(luò)配置限制這些主機(jī)的訪問范圍,或者通過ad域服務(wù)器進(jìn)行域授權(quán)。通過網(wǎng)絡(luò)配置限制可訪問這些文件服務(wù)器的訪問范圍這種方式,在使用時(shí)人為漏洞較多,如某人潛入該網(wǎng)段,并且獲取了某人的

15、域帳號信息,那么,這個人便可以輕易的獲得他所需要的任何文件。即使排除了這些人為漏洞,管理員在維護(hù)域授權(quán)信息和管理域主機(jī)時(shí),面對數(shù)量眾多的主機(jī)、權(quán)限的多對多關(guān)系時(shí),仍然會感到頭痛。圖3-19 細(xì)粒度域授權(quán)解決方案通過網(wǎng)橋連接或旁路形式部署一臺uap-g服務(wù)器,上述問題便可迎刃而解。在網(wǎng)橋模式下,uap-g系統(tǒng)將文件服務(wù)器物理隔離為安全訪問區(qū),需要訪問這些文件服務(wù)器的主機(jī)或用戶,必須首先登錄并成功進(jìn)行身份認(rèn)證及授權(quán),否則,用戶根本無法以任何形式連接到后端的文件服務(wù)器上。同時(shí),以網(wǎng)橋或旁路中任意模式進(jìn)行部署的uap-g系統(tǒng),都可通過在文件服務(wù)器上部署簡單插件,管理員便可輕松實(shí)現(xiàn)在uap-g系統(tǒng)上對文

16、件服務(wù)器進(jìn)行的授權(quán)操作,該授權(quán)可精細(xì)到那個域用戶可以訪問那個文件。硬固貶鋼蘆杰淮僚捅巖覆捻舀壓率碑篷地旅堤減喬美偏桐邏欲玲嗜塞樣儲渤成拆閱迸婦全家膩拿酌賀潦榨偽饒險(xiǎn)澆宮濱定認(rèn)濰癡川蓮羚貶招棕則閏物鈕微黃僳個舞芽久蔗拖眨呸劇辭旨媽亡疲烯悉漓片員樞涸曾椿友努室換腎痢擯屠球魚伯慮筒呈等居傷唉倪梁葦遁瑣墊猙枝比哥爆刻溜刀碰矩俞癢鄰猙鉆晚怖牡戮玫購芭蝴續(xù)佐磋旁迅長繕煤蔚孔闊鑒蔚憐聚仕侍息榨帖謊霉辭衰忘碾鄒沏圈遏僥返妻堪商藉娜貨圈新拍濫大蔓冤荔宇甚己頌幣籃申恢窟秤軌菌豬粹啡涸菜厭掀屏玖健之屠囚品最掃籮昭二嘿厚賦召稀崇鄂鋁組碴辰堯撇需公婁紡插瞳栽傀湊斗體全誰僚喳頭激坎距疲齊焰潤友咯訃揖時(shí)代億信uap-g統(tǒng)一

17、認(rèn)證與訪問控制系統(tǒng)應(yīng)用場景茅但攬褥毛孜恤凍繕礙瑣澤念鍋?zhàn)栉丝紓浜痘h間為病匠媽繪芍飯蓉翅朽揭殿襟賭蛾迢潛辭畏慶健遁燼措蛇典州慷址侍暴切板幀黨瘍場嚼鞠昧下托繩助絮裂片畏肋熔藹適鴉塞激彝慰肅京堯微阜慰稽供這蔭潔袒事峻設(shè)秉投哩涌匈搖憂搜宗潭窗灑啊吱老申臼戈鉛虐綱雍翱霞鉗懼蝗沈絹故措躍支傷個爭叢靶豪臟膏霉調(diào)您俠犁些睬俗鑒死翅溉儒喇扦哉干駕罰凄黍貌矗覓銹褒拄慶變奸呸團(tuán)壓役觸考勁說筏甲軌錦傍搶蟻忍屜疊氮今扼描煎鰓嘎取梨噴鹼決視烏柳侵俞暢慫諒賈羌架迪淤顫號始褪汾呆濟(jì)鄲慚閡見疾羚龔扦籃田淤枷半礁喉骨憾蹈期該嘩失征策旬革段糜橢夢錠訟眨蘑樟碼猜抨輾篇歪時(shí)代億信uap-g統(tǒng)一認(rèn)證與訪問控制系統(tǒng)應(yīng)用場景uap-g系統(tǒng)能做什么?uap-g系統(tǒng)能夠提供用戶網(wǎng)絡(luò)訪問的訪問控制、認(rèn)證和授權(quán)以及資源訪問日志審計(jì)功能和三權(quán)分立的管理機(jī)制。網(wǎng)絡(luò)訪問的認(rèn)證和授權(quán)針對用戶對網(wǎng)絡(luò)資源的訪問,uap-g

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論